Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6916762B2 - Method determination device, method determination method and method determination program - Google Patents
[go: Go Back, main page]

JP6916762B2 - Method determination device, method determination method and method determination program - Google Patents

Method determination device, method determination method and method determination program Download PDF

Info

Publication number
JP6916762B2
JP6916762B2 JP2018117889A JP2018117889A JP6916762B2 JP 6916762 B2 JP6916762 B2 JP 6916762B2 JP 2018117889 A JP2018117889 A JP 2018117889A JP 2018117889 A JP2018117889 A JP 2018117889A JP 6916762 B2 JP6916762 B2 JP 6916762B2
Authority
JP
Japan
Prior art keywords
user
authentication
information
terminal
classifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018117889A
Other languages
Japanese (ja)
Other versions
JP2019219999A (en
Inventor
宣広 奥井
宣広 奥井
三宅 優
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2018117889A priority Critical patent/JP6916762B2/en
Publication of JP2019219999A publication Critical patent/JP2019219999A/en
Application granted granted Critical
Publication of JP6916762B2 publication Critical patent/JP6916762B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、ユーザを認証するための装置、方法及びプログラムに関する。 The present invention relates to devices, methods and programs for authenticating users.

従来、通信ネットワークを介して様々なサービスが提供されている。これらのサービスには、なりすまし等の不正を防ぐために、ユーザが本人であることを確認する認証機能が備わっている。この認証機能には、多種多様な認証方式が採用可能であるが、いずれの認証方式を採用するかは、通常、サービスの提供事業者が決定している。
特許文献1では、サービスが求める安全性と認証時の状況とに基づいて、認証方式を決定する手法が提案されている。
Conventionally, various services have been provided via a communication network. These services are equipped with an authentication function that confirms the identity of the user in order to prevent fraud such as spoofing. A wide variety of authentication methods can be adopted for this authentication function, but the service provider usually decides which authentication method to use.
Patent Document 1 proposes a method of determining an authentication method based on the security required by a service and the situation at the time of authentication.

特開2017−45328号公報JP-A-2017-45328

しかしながら、従来の手法では、ログインを繰り返すユーザにとっては、複雑な認証手続きが常に必要となる場合があり、利便性に課題があった。 However, in the conventional method, a complicated authentication procedure may always be required for a user who repeatedly logs in, which poses a problem in convenience.

本発明は、安全性を確保しつつ、利便性の良い認証方式を決定できる方式決定装置、方式決定方法及び方式決定プログラムを提供することを目的とする。 An object of the present invention is to provide a method determination device, a method determination method, and a method determination program capable of determining a convenient authentication method while ensuring safety.

本発明に係る方式決定装置は、予めユーザに対応付けられた認証端末から、前記ユーザの状態を示す所定の種類のユーザ情報を収集する収集部と、前記ユーザ情報に基づいて、前記ユーザを識別するための識別器を生成する学習部と、前記ユーザの認証を実行する際に、前記認証端末から前記ユーザ情報を取得し、当該ユーザ情報を用いて前記識別器により算出される前記ユーザの本人性に基づいて、前記認証に必要なセキュリティレベルを決定する決定部と、複数の認証方式のうち、前記セキュリティレベルに適合した方式を選定する選定部と、を備える。 The method determining device according to the present invention identifies the user based on the collecting unit that collects a predetermined type of user information indicating the state of the user from the authentication terminal associated with the user in advance and the user information. A learning unit that generates a classifier for the user, and the user himself / herself who acquires the user information from the authentication terminal when executing the authentication of the user and is calculated by the classifier using the user information. It includes a determination unit that determines the security level required for the authentication based on the characteristics, and a selection unit that selects a method suitable for the security level from a plurality of authentication methods.

前記収集部は、前記ユーザが前記認証端末とは異なるログイン端末から認証要求を行った場合、当該ログイン端末の識別情報を取得し、前記学習部は、前記ユーザ情報及び前記識別情報に基づいて、前記識別器を生成してもよい。 When the user makes an authentication request from a login terminal different from the authentication terminal, the collection unit acquires the identification information of the login terminal, and the learning unit obtains the identification information of the login terminal, and the learning unit is based on the user information and the identification information. The classifier may be generated.

前記方式決定装置は、前記ユーザ情報に基づいて、前記ユーザの現在の状態を判定する状態判定部を備え、前記選定部は、判定された前記現在の状態に適した方式を選定してもよい。 The method determining device includes a state determination unit that determines the current state of the user based on the user information, and the selection unit may select a method suitable for the determined current state. ..

前記学習部は、前記ユーザとは異なる他のユーザの情報との差異に基づいて前記識別器を生成してもよい。 The learning unit may generate the discriminator based on the difference from the information of another user different from the user.

前記方式決定装置は、前記ユーザにより登録された前記複数の認証方式の優先順位情報を取得する優先順位取得部を備え、前記選定部は、前記優先順位情報に基づく方式を選定してもよい。 The method determining device may include a priority acquisition unit that acquires priority information of the plurality of authentication methods registered by the user, and the selection unit may select a method based on the priority information.

前記方式決定装置は、前記認証が成功するまでの時間、又は失敗回数を含む方式毎のユーザビリティ情報を取得するユーザビリティ取得部を備え、前記選定部は、前記ユーザビリティ情報に基づいて方式を選定してもよい。 The method determining device includes a usability acquisition unit that acquires usability information for each method including the time until the authentication succeeds or the number of failures, and the selection unit selects a method based on the usability information. May be good.

本発明に係る方式決定方法は、予めユーザに対応付けられた認証端末から、前記ユーザの状態を示す所定の種類のユーザ情報を収集する収集ステップと、前記ユーザ情報に基づいて、前記ユーザを識別するための識別器を生成する学習ステップと、前記ユーザの認証を実行する際に、前記認証端末から前記ユーザ情報を取得し、当該ユーザ情報を用いて前記識別器により算出される前記ユーザの本人性に基づいて、前記認証に必要なセキュリティレベルを決定する決定ステップと、複数の認証方式のうち、前記セキュリティレベルに適合した方式を選定する選定ステップと、をコンピュータが実行する。 The method determining method according to the present invention identifies the user based on a collection step of collecting a predetermined type of user information indicating the state of the user from an authentication terminal associated with the user in advance and the user information. The user himself / herself who acquires the user information from the authentication terminal when executing the authentication of the user and the learning step of generating the classifier for the purpose, and is calculated by the classifier using the user information. The computer executes a determination step of determining the security level required for the authentication based on the characteristics and a selection step of selecting a method suitable for the security level from a plurality of authentication methods.

本発明に係る方式決定プログラムは、予めユーザに対応付けられた認証端末から、前記ユーザの状態を示す所定の種類のユーザ情報を収集する収集ステップと、前記ユーザ情報に基づいて、前記ユーザを識別するための識別器を生成する学習ステップと、前記ユーザの認証を実行する際に、前記認証端末から前記ユーザ情報を取得し、当該ユーザ情報を用いて前記識別器により算出される前記ユーザの本人性に基づいて、前記認証に必要なセキュリティレベルを決定する決定ステップと、複数の認証方式のうち、前記セキュリティレベルに適合した方式を選定する選定ステップと、をコンピュータに実行させるためのものである。 The method determining program according to the present invention identifies the user based on a collection step of collecting a predetermined type of user information indicating the state of the user from an authentication terminal associated with the user in advance and the user information. The user himself / herself who acquires the user information from the authentication terminal when executing the authentication of the user and the learning step of generating the classifier for the purpose, and is calculated by the classifier using the user information. This is for causing a computer to perform a determination step of determining the security level required for the authentication based on the nature and a selection step of selecting a method suitable for the security level from a plurality of authentication methods. ..

本発明によれば、利便性の良い認証方式を決定できる。 According to the present invention, a convenient authentication method can be determined.

実施形態に係る認証システム全体の構成を示す概略図である。It is the schematic which shows the structure of the whole authentication system which concerns on embodiment. 実施形態に係る方式決定装置の機能構成を示す図である。It is a figure which shows the functional structure of the method determination apparatus which concerns on embodiment. 実施形態に係る認証システムにおけるユーザの認証時の処理を例示するシーケンス図である。It is a sequence diagram which illustrates the process at the time of the user authentication in the authentication system which concerns on embodiment.

以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る方式決定装置1を含む認証システム100全体の構成を示す概略図である。
Hereinafter, an example of the embodiment of the present invention will be described.
FIG. 1 is a schematic view showing the configuration of the entire authentication system 100 including the method determination device 1 according to the present embodiment.

ユーザは、サービス提供サーバ2が提供するサービスを受けるログイン端末3と、ログイン時のユーザ認証を行うための情報を提供する認証端末4とを使用する。本実施形態では、認証端末4は、ログイン端末3とは別体であり、スマートフォン又はタブレット端末等の携帯端末であること想定するが、これには限られず、ログイン端末3が認証端末4を兼ねていてもよい。 The user uses a login terminal 3 that receives a service provided by the service providing server 2 and an authentication terminal 4 that provides information for performing user authentication at the time of login. In the present embodiment, the authentication terminal 4 is separate from the login terminal 3 and is assumed to be a mobile terminal such as a smartphone or a tablet terminal, but the present invention is not limited to this, and the login terminal 3 also serves as the authentication terminal 4. You may be.

方式決定装置1は、端末管理サーバ5を介して、認証端末4の情報を定期的に取得し、ユーザの本人性を識別するための識別器を学習により生成する。方式決定装置1は、この識別器を用いて、認証要求を行ったユーザの本人性を判定し、判定結果に応じて認証方式を選定する。 The method determination device 1 periodically acquires the information of the authentication terminal 4 via the terminal management server 5, and generates a classifier for identifying the identity of the user by learning. The method determining device 1 uses this classifier to determine the identity of the user who made the authentication request, and selects an authentication method according to the determination result.

ログイン端末3又は認証端末4は、サービス提供サーバ2にログインするために、方式決定装置1により選定された認証方式を用いて、端末管理サーバ5との間で各種の認証プロセスを実行する。認証結果は、サービス提供サーバ2に通知され、ログイン端末3からのアクセスが許可される。 The login terminal 3 or the authentication terminal 4 executes various authentication processes with the terminal management server 5 by using the authentication method selected by the method determination device 1 in order to log in to the service providing server 2. The authentication result is notified to the service providing server 2, and access from the login terminal 3 is permitted.

ここで、認証方式は、例えば以下が挙げられるが、これらには限られず、様々な認証方式が用いられてよい。また、複数の方式が組み合わされ、多段階の認証方式が用いられてもよい。
・パスワード認証
・4桁の暗証番号認証
・8桁の暗証番号認証
・パターン認証
・秘密の質問を用いた認証
・ワンタイムパスワード認証
・ワンタイムパターン認証
・SIM認証
・機器認証
・秘密鍵を用いた署名による認証
・乱数表による認証
・掌紋認証
・指紋認証
・顔認証
・てのひら静脈認証
・指静脈認証
・虹彩認証
・音声認証
・署名認証
・多要素認証
・画像認証(CAPTCHA)
・位置認証
・リスクベース認証
・多経路認証
Here, the authentication method includes, for example, the following, but the authentication method is not limited to these, and various authentication methods may be used. Further, a plurality of methods may be combined and a multi-step authentication method may be used.
・ Password authentication ・ 4-digit password authentication ・ 8-digit password authentication ・ Pattern authentication ・ Authentication using secret questions ・ One-time password authentication ・ One-time pattern authentication ・ SIM authentication ・ Device authentication ・ Using private key Authentication by signature ・ Authentication by random number table ・ Palm print authentication ・ Fingerprint authentication ・ Face authentication ・ Palm vein authentication ・ Finger vein authentication ・ Iridescent authentication ・ Voice authentication ・ Signature authentication ・ Multi-element authentication ・ Image authentication (CAPTCHA)
・ Location authentication ・ Risk-based authentication ・ Multi-path authentication

これらの認証方式には、それぞれ不正アクセスのリスクが考えられ、ユーザの正当性を保証できるセキュリティレベルがそれぞれに設定される。また、サービス提供サーバ2が提供するサービスの内容に応じて、必要なセキュリティレベルがサービス提供事業者により設定される。
方式決定装置1は、このサービス提供事業者により設定されたセキュリティレベルを満たすための認証方式を選定する。
Each of these authentication methods is considered to have a risk of unauthorized access, and a security level that can guarantee the legitimacy of the user is set for each. Further, the required security level is set by the service provider according to the content of the service provided by the service providing server 2.
The method determination device 1 selects an authentication method for satisfying the security level set by the service provider.

図2は、本実施形態に係る方式決定装置1の機能構成を示す図である。
方式決定装置1は、制御部10及び記憶部20を備えたパーソナルコンピュータ又はサーバ等の情報処理装置(コンピュータ)であり、さらに、入出力デバイス及び通信インタフェース等、ユーザ及び外部装置とのインタフェース機能を有している。
FIG. 2 is a diagram showing a functional configuration of the method determination device 1 according to the present embodiment.
The method determination device 1 is an information processing device (computer) such as a personal computer or a server provided with a control unit 10 and a storage unit 20, and further provides an interface function with a user and an external device such as an input / output device and a communication interface. Have.

制御部10は、記憶部20に格納されたソフトウェア(方式決定プログラム)を読み出し実行することにより、次の各部として機能する。
すなわち、制御部10は、収集部11と、学習部12と、決定部13と、状態判定部14と、優先順位取得部15と、ユーザビリティ取得部16と、選定部17とを備える。
The control unit 10 functions as the following units by reading and executing the software (method determination program) stored in the storage unit 20.
That is, the control unit 10 includes a collection unit 11, a learning unit 12, a determination unit 13, a state determination unit 14, a priority acquisition unit 15, a usability acquisition unit 16, and a selection unit 17.

収集部11は、予めユーザに対応付けられた認証端末4から、ユーザの状態を示す所定の種類のユーザ情報を収集する。
ユーザと認証端末4との対応付けの手法としては、過去の認証時に使用した端末が自動的にユーザに紐付けられてもよいし、あるいは、ユーザ自身が認証端末4を登録してもよい。対応付けの情報は、記憶部20に記憶されてもよいし、外部の端末管理サーバ5等に記憶されてもよい。
The collecting unit 11 collects a predetermined type of user information indicating the state of the user from the authentication terminal 4 associated with the user in advance.
As a method of associating the user with the authentication terminal 4, the terminal used in the past authentication may be automatically associated with the user, or the user himself / herself may register the authentication terminal 4. The association information may be stored in the storage unit 20, or may be stored in an external terminal management server 5 or the like.

ユーザ情報としては、例えば、次のような種類のデータが挙げられる。
・IPアドレス、基地局ID、GPS測位情報等の位置情報。
・加速度センサ、近接センサ、輝度センサ等、認証端末4に設けられた各種センサの測定値。
・上記の各種データを用いて判定される、静止、歩行又は自動車等の移動手段。
Examples of user information include the following types of data.
-Location information such as IP address, base station ID, GPS positioning information, etc.
-Measured values of various sensors provided in the authentication terminal 4, such as an acceleration sensor, a proximity sensor, and a brightness sensor.
-A means of transportation such as stationary, walking, or a car, which is determined using the above various data.

収集部11は、これらのユーザ情報を、ユーザの認証端末4から定期的に取得し、日時情報と共に学習部12に提供する。また、収集部11は、ユーザが認証要求した時点での情報をさらに取得し、認証時に特化した情報として学習部12に提供してもよい。 The collecting unit 11 periodically acquires these user information from the user authentication terminal 4, and provides the learning unit 12 together with the date and time information. Further, the collecting unit 11 may further acquire the information at the time when the user requests the authentication and provide it to the learning unit 12 as the information specialized at the time of authentication.

さらに、収集部11は、ユーザが認証端末4とは異なるログイン端末3から認証要求を行った場合、このログイン端末3のIPアドレス及び位置情報等を含む識別情報を取得し、学習部12に提供してもよい。 Further, when the user makes an authentication request from a login terminal 3 different from the authentication terminal 4, the collection unit 11 acquires identification information including the IP address and location information of the login terminal 3 and provides it to the learning unit 12. You may.

学習部12は、ユーザ情報及び識別情報に基づいて、ユーザを識別するための識別器を生成する。なお、識別器を生成する手段には、既存の学習手法が用いられてよい。
これにより、ユーザ毎の行動を特徴付けるデータが学習により形成され、いつ、どこで、ログイン端末3及び認証端末4がどのような状態であるかに応じて、本人性を示すスコアが算出される。
このとき、学習部12は、対象のユーザとは異なる他のユーザの情報との差異に基づいて識別器を生成することで、ユーザの識別精度を向上させることもできる。
The learning unit 12 generates a classifier for identifying a user based on the user information and the identification information. An existing learning method may be used as a means for generating the classifier.
As a result, data characterizing the behavior of each user is formed by learning, and a score indicating personality is calculated according to when, where, and what state the login terminal 3 and the authentication terminal 4 are in.
At this time, the learning unit 12 can also improve the identification accuracy of the user by generating the classifier based on the difference from the information of another user different from the target user.

決定部13は、ユーザの認証を実行する際に、認証端末4から新たに取得したユーザ情報を識別器に入力し、算出されたユーザの本人性を示すスコアに基づいて、認証に必要なセキュリティレベルを決定する。
提供するサービスが求めるセキュリティレベルは、算出された本人性を示すスコアに応じて設定されてよい。すなわち、本人性が低い場合はより高いセキュリティレベルが要求されるが、本人性が高い場合、比較的低いセキュリティレベルの認証であっても、算出された本人性を示すスコアとの組み合わせにより、必要なセキュリティレベルが担保される。
When executing user authentication, the determination unit 13 inputs the user information newly acquired from the authentication terminal 4 into the classifier, and based on the calculated score indicating the user's identity, the security required for authentication. Determine the level.
The security level required by the provided service may be set according to the calculated score indicating the identity. That is, if the identity is low, a higher security level is required, but if the identity is high, even if the authentication has a relatively low security level, it is necessary in combination with the calculated score indicating the identity. Security level is guaranteed.

状態判定部14は、ユーザ情報に基づいて、ユーザの現在の状態を判定する。
例えば、状態判定部14は、各種のセンサ情報に基づいて、ユーザのいる場所が明るい場所なのか暗い場所なのか、静かな場所なのか騒がしい場所なのか、移動手段が何なのか等、現在の状態を判定する。
なお、この状態の判定には、ユーザ毎の識別器が用いられてもよいし、複数のユーザに共通の識別器が用いられてもよい。また、状態判定部14は、予め用意した閾値に基づいて状態の判定を行ってもよい。
The state determination unit 14 determines the current state of the user based on the user information.
For example, the state determination unit 14 is based on various sensor information, such as whether the place where the user is located is a bright place or a dark place, a quiet place or a noisy place, what is the means of transportation, and the like. Determine the state.
A discriminator for each user may be used for determining this state, or a discriminator common to a plurality of users may be used. Further, the state determination unit 14 may determine the state based on a threshold value prepared in advance.

優先順位取得部15は、ユーザにより予め登録された複数の認証方式の優先順位情報を取得する。例えば、方式決定装置1は、ユーザから使用したい複数の認証方式、及びランキング若しくはポイント等の指定を受け付け、ユーザ毎の設定情報として登録する。 The priority acquisition unit 15 acquires priority information of a plurality of authentication methods registered in advance by the user. For example, the method determination device 1 accepts a plurality of authentication methods to be used from the user and designations such as ranking or points, and registers them as setting information for each user.

ユーザビリティ取得部16は、ユーザがいずれかの認証方式により認証が成功するまでに掛かった時間、又は失敗回数を含む方式毎のユーザビリティ情報を取得する。このユーザビリティ情報は、ユーザ毎の各認証方式に対する適性を示しており、認証が実行される度に取得される。 The usability acquisition unit 16 acquires usability information for each method including the time required for the user to succeed in authentication by any authentication method or the number of failures. This usability information indicates the suitability for each authentication method for each user, and is acquired each time authentication is executed.

選定部17は、複数の認証方式のうち、セキュリティレベルに適合した方式を選定する。ここで、複数の認証方式には、それぞれセキュリティレベルが設定されており、決定部13により決定されたセキュリティレベル以上のレベルが設定された認証方式が選定される。 The selection unit 17 selects a method suitable for the security level from among a plurality of authentication methods. Here, a security level is set for each of the plurality of authentication methods, and an authentication method in which a level equal to or higher than the security level determined by the determination unit 13 is set is selected.

また、選定部17は、セキュリティレベルの条件を満たす認証方式のうち、判定された現在のユーザの状態に適した認証方式を選定する。
例えば、電車内では音声認証は難しいため、指紋認証等が選定される。あるいは、暗い場所では顔認証が難しいため、他のセンサを用いる指紋認証等が選定される。
これらの選定ロジックは、予め記憶部20に登録される。
Further, the selection unit 17 selects an authentication method suitable for the determined current state of the user from among the authentication methods satisfying the security level.
For example, since voice authentication is difficult on a train, fingerprint authentication or the like is selected. Alternatively, since face authentication is difficult in a dark place, fingerprint authentication using another sensor or the like is selected.
These selection logics are registered in the storage unit 20 in advance.

また、選定部17は、優先順位取得部15により取得された優先順位情報と、ユーザビリティ取得部16により取得されたユーザビリティ情報とに基づいて、認証方式を選定する。
このとき、例えば、あるユーザは、指紋認証を優先しているが失敗する率が高い場合、成功率の高い掌紋認証を選定する等、ユーザの嗜好(優先順位)よりユーザビリティを重視する選定方法であってもよい。
Further, the selection unit 17 selects the authentication method based on the priority information acquired by the priority acquisition unit 15 and the usability information acquired by the usability acquisition unit 16.
At this time, for example, if a user gives priority to fingerprint authentication but has a high failure rate, a selection method that emphasizes usability rather than user preference (priority), such as selecting palm print authentication with a high success rate, is used. There may be.

さらに、選定部17は、ユーザ自身による優先順位の設定変更の情報を取得し、ユーザビリティ情報と組み合わせることで、ある認証方式を、失敗が多い等の理由により、あるいは単に好き嫌いにより敬遠し、別の認証方式を望んでいることが判別できる。すると、例えば、ある認証方式のランキングが単なる好みにより下げられたのであれば、選定部17は、セキュリティレベルを維持するために設定に反する認証方式を選定してもよい。 Further, the selection unit 17 acquires information on the priority setting change by the user himself and combines it with the usability information to avoid one authentication method due to many failures or simply because he likes or dislikes it, and another. It can be determined that the authentication method is desired. Then, for example, if the ranking of a certain authentication method is lowered simply by preference, the selection unit 17 may select an authentication method contrary to the setting in order to maintain the security level.

図3は、本実施形態に係る認証システム100におけるユーザの認証時の処理を例示するシーケンス図である。
本処理に先立って、方式決定装置1は、予め認証端末4からユーザユーザ情報を定期的に取得し、ユーザ毎の識別器が生成されているものとする。
FIG. 3 is a sequence diagram illustrating a process at the time of user authentication in the authentication system 100 according to the present embodiment.
Prior to this process, it is assumed that the method determining device 1 periodically acquires user user information from the authentication terminal 4 in advance, and a classifier for each user is generated.

ステップS1において、ログイン端末3は、ユーザからの指示入力に応じて、サービス提供サーバ2に対してサービス要求を行う。
ステップS2において、サービス提供サーバ2は、サービスを要求したユーザを認証するため、要求元のログイン端末3に対して、方式決定装置1へのリダイレクト要求を行う。
ステップS3において、ログイン端末3は、リダイレクト要求に従って、方式決定装置1に対して、ユーザIDを通知すると共に認証要求を行う。
In step S1, the login terminal 3 makes a service request to the service providing server 2 in response to an instruction input from the user.
In step S2, the service providing server 2 makes a redirect request to the method determination device 1 to the requesting login terminal 3 in order to authenticate the user who requested the service.
In step S3, the login terminal 3 notifies the method determination device 1 of the user ID and makes an authentication request in accordance with the redirect request.

ステップS4において、方式決定装置1は、認証要求のあったユーザIDを端末管理サーバ5に通知する。
ステップS5において、端末管理サーバ5は、ユーザIDに予め対応付けられている認証端末4を特定する。
In step S4, the method determination device 1 notifies the terminal management server 5 of the user ID for which the authentication request has been made.
In step S5, the terminal management server 5 identifies the authentication terminal 4 associated with the user ID in advance.

ステップS6において、端末管理サーバ5は、プッシュ通知を担う通知サーバに対して、特定した認証端末4のIDを送信し、プッシュ通知の要求を行う。
ステップS7において、通知サーバは、指定された認証端末4に対してユーザ情報要求のためのプッシュ通知を行う。
ステップS8において、認証端末4は、プッシュ通知を受け取ったことに応じて、所定のアプリケーションを起動することで、ユーザ情報を取得する。
ステップS9において、認証端末4は、取得したユーザ情報を端末管理サーバ5に送信する。
In step S6, the terminal management server 5 transmits the ID of the specified authentication terminal 4 to the notification server responsible for the push notification, and requests the push notification.
In step S7, the notification server performs a push notification for requesting user information to the designated authentication terminal 4.
In step S8, the authentication terminal 4 acquires user information by invoking a predetermined application in response to receiving the push notification.
In step S9, the authentication terminal 4 transmits the acquired user information to the terminal management server 5.

ステップS10において、端末管理サーバ5は、受信したユーザ情報を方式決定装置1へ転送する。
ステップS11において、方式決定装置1は、受信したユーザ情報を、ユーザ別の識別器に入力し、本人性を示すスコアを取得する。そして、方式決定装置1は、このスコアが示すリスクに応じたセキュリティレベルを決定すると、このセキュリティレベルを満たす認証方式を選定する。
In step S10, the terminal management server 5 transfers the received user information to the method determination device 1.
In step S11, the method determining device 1 inputs the received user information into the classifier for each user and acquires a score indicating the identity. Then, when the method determining device 1 determines the security level according to the risk indicated by this score, the method determining device 1 selects an authentication method satisfying this security level.

ステップS12において、端末管理サーバ5は、方式決定装置1により選定された認証方式を用いて、認証端末4又はログイン端末3との間で認証プロセスを実行する。
ステップS13において、端末管理サーバ5は、認証結果をサービス提供サーバ2に通知する。
In step S12, the terminal management server 5 executes an authentication process with the authentication terminal 4 or the login terminal 3 by using the authentication method selected by the method determination device 1.
In step S13, the terminal management server 5 notifies the service providing server 2 of the authentication result.

ステップS14において、端末管理サーバ5は、ログイン端末3にサービス提供サーバ2へアクセスさせるためのリダイレクト要求を行う。
ステップS15において、ログイン端末3は、リダイレクト要求に応じて、サービス提供サーバ2へサービス要求を行う。
ステップS16において、サービス提供サーバ2は、サービス要求に応じて、ログイン端末3へ所定のサービスを提供する。
In step S14, the terminal management server 5 makes a redirect request for the login terminal 3 to access the service providing server 2.
In step S15, the login terminal 3 makes a service request to the service providing server 2 in response to the redirect request.
In step S16, the service providing server 2 provides a predetermined service to the login terminal 3 in response to the service request.

ここで、方式決定装置1は、識別器を学習するためのユーザ情報を、登録済みの認証端末4から定期的に端末管理サーバ5を介して取得するが、このとき、ステップS6〜S10が定期的に実行される。
なお、この例では、通知サーバを介してプッシュ通知を行う処理を例示したが、認証端末4の機能及びオペレーティングシステムの種類に応じて、通知サーバを介さずに、又は開始時1回のみのトリガーで、所定のアプリケーションが定期的に自動でユーザ情報を送信してもよい。
Here, the method determining device 1 periodically acquires user information for learning the classifier from the registered authentication terminal 4 via the terminal management server 5. At this time, steps S6 to S10 periodically acquire the user information. Is executed.
In this example, the process of performing push notification via the notification server is illustrated, but depending on the function of the authentication terminal 4 and the type of operating system, the trigger is triggered only once at the start or without going through the notification server. Then, a predetermined application may automatically send user information on a regular basis.

本実施形態によれば、方式決定装置1は、認証端末4からユーザ情報を収集し、学習によりユーザ毎の識別器を生成することにより、認証を実行する際に改めて取得したユーザ情報を入力として本人性を示すスコアを算出する。方式決定装置1は、この本人性を示すスコアに基づいて認証に必要なセキュリティレベルを決定し、このセキュリティレベルに適合した方式を選定する。 According to the present embodiment, the method determining device 1 collects user information from the authentication terminal 4 and generates a classifier for each user by learning, so that the user information acquired again when executing authentication is input. Calculate a score that indicates your identity. The method determination device 1 determines the security level required for authentication based on the score indicating the identity, and selects a method suitable for this security level.

携帯される認証端末4が取得するユーザ情報からは、例えば、勤務先、通勤経路、営業先、海外拠点等の頻繁に訪れる位置情報が学習されるため、認証時の位置が学習内容と異なれば本人性のリスクが高いが、学習内容と一致すればリスクは低いと推定できる。
したがって、方式決定装置1は、認証時に、非認証時のユーザ情報を用いて本人性を確認することで、必要なセキュリティレベルを緩和しても同等の安全性を確保できる。この結果、方式決定装置1は、安全性を確保しつつ、利便性の良い認証方式を決定できる。
From the user information acquired by the mobile authentication terminal 4, for example, frequently visited location information such as work place, commuting route, business place, overseas base, etc. is learned, so if the position at the time of authentication is different from the learning content. The risk of personality is high, but it can be estimated that the risk is low if it matches the learning content.
Therefore, the method determining device 1 can secure the same security even if the necessary security level is relaxed by confirming the identity by using the user information at the time of non-authentication at the time of authentication. As a result, the method determining device 1 can determine a convenient authentication method while ensuring safety.

方式決定装置1は、ログイン端末3が認証端末4と異なる場合に、このログイン端末3からもIPアドレス及び位置情報等の識別情報を取得することで、識別器の学習に利用する。
したがって、方式決定装置1は、非認証時及び認証時の情報を豊富に収集して識別器の精度を向上できる。
When the login terminal 3 is different from the authentication terminal 4, the method determination device 1 is used for learning the classifier by acquiring identification information such as an IP address and location information from the login terminal 3.
Therefore, the method determining device 1 can improve the accuracy of the classifier by collecting abundant information at the time of non-authentication and at the time of authentication.

方式決定装置1は、認証時のユーザ情報に基づいて、ユーザの現在の状態を判定することにより、この状態に適した認証方式を選定できる。これにより、方式決定装置1は、認証方式を状況により柔軟に変更し、利便性を向上できる。 The method determination device 1 can select an authentication method suitable for this state by determining the current state of the user based on the user information at the time of authentication. As a result, the method determining device 1 can flexibly change the authentication method depending on the situation and improve convenience.

方式決定装置1は、他のユーザの情報との差異に基づいて識別器を生成するので、対象のユーザと異なる特有の情報を用いて識別精度を向上できる。 Since the method determining device 1 generates a discriminator based on the difference from the information of another user, the discriminating accuracy can be improved by using the peculiar information different from the target user.

方式決定装置1は、優先順位に関する設定情報利用することにより、セキュリティレベルを維持した上で、ユーザの好みに応じた認証方式を選定でき、利便性を向上できる。 By using the setting information regarding the priority order, the method determining device 1 can select an authentication method according to the user's preference while maintaining the security level, and can improve convenience.

方式決定装置1は、認証が成功するまでの時間、又は失敗回数を含む認証方式毎のユーザビリティ情報を利用することにより、ユーザが行いやすい手順による認証方式を選定でき、利便性を向上できる。 The method determination device 1 can select an authentication method according to a procedure that is easy for the user to perform by using the usability information for each authentication method including the time until the authentication succeeds or the number of failures, and the convenience can be improved.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. Moreover, the effects described in the above-described embodiments are merely a list of the most preferable effects arising from the present invention, and the effects according to the present invention are not limited to those described in the embodiments.

方式決定装置1による方式決定方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The method of determining the method by the method determining device 1 is realized by software. When realized by software, the programs that make up this software are installed in the information processing device (computer). Further, these programs may be recorded on a removable medium such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network. Further, these programs may be provided to the user's computer as a Web service via a network without being downloaded.

1 方式決定装置
2 サービス提供サーバ
3 ログイン端末
4 認証端末
5 端末管理サーバ
10 制御部
11 収集部
12 学習部
13 決定部
14 状態判定部
15 優先順位取得部
16 ユーザビリティ取得部
17 選定部
20 記憶部
100 認証システム
1 Method determination device 2 Service providing server 3 Login terminal 4 Authentication terminal 5 Terminal management server 10 Control unit 11 Collection unit 12 Learning unit 13 Decision unit 14 Status determination unit 15 Priority acquisition unit 16 Usability acquisition unit 17 Selection unit 20 Storage unit 100 Authentication system

Claims (7)

予めユーザに対応付けられた認証端末から、前記ユーザの状態を示す所定の種類のユーザ情報を収集する収集部と、
前記ユーザ情報に基づいて、前記ユーザを識別するための識別器を生成する学習部と、
前記ユーザの認証を実行する際に、前記認証端末から前記ユーザ情報を取得し、当該ユーザ情報を用いて前記識別器により算出される前記ユーザの本人性に基づいて、前記認証に必要なセキュリティレベルを決定する決定部と、
複数の認証方式のうち、前記セキュリティレベルに適合した方式を選定する選定部と、を備え
前記収集部は、前記ユーザが前記認証端末とは異なるログイン端末から認証要求を行った場合、当該ログイン端末の識別情報を取得し、
前記学習部は、前記ユーザ情報及び前記識別情報に基づいて、前記識別器を生成する方式決定装置。
A collection unit that collects a predetermined type of user information indicating the state of the user from an authentication terminal associated with the user in advance.
A learning unit that generates a classifier for identifying the user based on the user information,
When executing the authentication of the user, the user information is acquired from the authentication terminal, and the security level required for the authentication is based on the identity of the user calculated by the classifier using the user information. And the decision-making part that decides
It is equipped with a selection unit that selects a method that suits the security level from among a plurality of authentication methods .
When the user makes an authentication request from a login terminal different from the authentication terminal, the collection unit acquires the identification information of the login terminal.
The learning unit is configured based on the user information and the identification information, the classifier that generates a scheme determining apparatus.
前記ユーザ情報に基づいて、前記ユーザの現在の状態を判定する状態判定部を備え、
前記選定部は、判定された前記現在の状態に適した方式を選定する請求項1に記載の方式決定装置。
A state determination unit for determining the current state of the user based on the user information is provided.
The method determining device according to claim 1, wherein the selection unit selects a method suitable for the determined current state.
前記学習部は、前記ユーザとは異なる他のユーザの情報との差異に基づいて前記識別器を生成する請求項1又は請求項に記載の方式決定装置。 The method determining device according to claim 1 or 2 , wherein the learning unit generates the classifier based on a difference from information of another user different from the user. 前記ユーザにより登録された前記複数の認証方式の優先順位情報を取得する優先順位取得部を備え、
前記選定部は、前記優先順位情報に基づく方式を選定する請求項1から請求項のいずれかに記載の方式決定装置。
A priority acquisition unit for acquiring priority information of the plurality of authentication methods registered by the user is provided.
The method determining device according to any one of claims 1 to 3 , wherein the selection unit selects a method based on the priority information.
前記認証が成功するまでの時間、又は失敗回数を含む方式毎のユーザビリティ情報を取得するユーザビリティ取得部を備え、
前記選定部は、前記ユーザビリティ情報に基づいて方式を選定する請求項1から請求項のいずれかに記載の方式決定装置。
It is provided with a usability acquisition unit that acquires usability information for each method including the time until the authentication succeeds or the number of failures.
The method determining device according to any one of claims 1 to 4 , wherein the selection unit selects a method based on the usability information.
予めユーザに対応付けられた認証端末から、前記ユーザの状態を示す所定の種類のユーザ情報を収集する収集ステップと、
前記ユーザ情報に基づいて、前記ユーザを識別するための識別器を生成する学習ステップと、
前記ユーザの認証を実行する際に、前記認証端末から前記ユーザ情報を取得し、当該ユーザ情報を用いて前記識別器により算出される前記ユーザの本人性に基づいて、前記認証に必要なセキュリティレベルを決定する決定ステップと、
複数の認証方式のうち、前記セキュリティレベルに適合した方式を選定する選定ステップと、をコンピュータが実行し、
前記収集ステップにおいて、前記ユーザが前記認証端末とは異なるログイン端末から認証要求を行った場合、当該ログイン端末の識別情報を取得し、
前記学習ステップにおいて、前記ユーザ情報及び前記識別情報に基づいて、前記識別器を生成する方式決定方法。
A collection step of collecting a predetermined type of user information indicating the state of the user from an authentication terminal associated with the user in advance.
A learning step of generating a classifier for identifying the user based on the user information,
When executing the authentication of the user, the user information is acquired from the authentication terminal, and the security level required for the authentication is based on the identity of the user calculated by the classifier using the user information. The decision step to decide and
The computer executes a selection step of selecting a method suitable for the security level from a plurality of authentication methods .
In the collection step, when the user makes an authentication request from a login terminal different from the authentication terminal, the identification information of the login terminal is acquired.
A method for determining a method for generating the classifier based on the user information and the identification information in the learning step.
予めユーザに対応付けられた認証端末から、前記ユーザの状態を示す所定の種類のユーザ情報を収集する収集ステップと、
前記ユーザ情報に基づいて、前記ユーザを識別するための識別器を生成する学習ステップと、
前記ユーザの認証を実行する際に、前記認証端末から前記ユーザ情報を取得し、当該ユーザ情報を用いて前記識別器により算出される前記ユーザの本人性に基づいて、前記認証に必要なセキュリティレベルを決定する決定ステップと、
複数の認証方式のうち、前記セキュリティレベルに適合した方式を選定する選定ステップと、をコンピュータに実行させ
前記収集ステップにおいて、前記ユーザが前記認証端末とは異なるログイン端末から認証要求を行った場合、当該ログイン端末の識別情報を取得させ、
前記学習ステップにおいて、前記ユーザ情報及び前記識別情報に基づいて、前記識別器を生成させるための方式決定プログラム。
A collection step of collecting a predetermined type of user information indicating the state of the user from an authentication terminal associated with the user in advance.
A learning step of generating a classifier for identifying the user based on the user information,
When executing the authentication of the user, the user information is acquired from the authentication terminal, and the security level required for the authentication is based on the identity of the user calculated by the classifier using the user information. The decision step to decide and
A computer is made to execute a selection step of selecting a method suitable for the security level from a plurality of authentication methods .
In the collection step, when the user makes an authentication request from a login terminal different from the authentication terminal, the identification information of the login terminal is acquired.
In the learning step, based on said user information and said identification information, because the method determination program to generate the identifier.
JP2018117889A 2018-06-21 2018-06-21 Method determination device, method determination method and method determination program Active JP6916762B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018117889A JP6916762B2 (en) 2018-06-21 2018-06-21 Method determination device, method determination method and method determination program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018117889A JP6916762B2 (en) 2018-06-21 2018-06-21 Method determination device, method determination method and method determination program

Publications (2)

Publication Number Publication Date
JP2019219999A JP2019219999A (en) 2019-12-26
JP6916762B2 true JP6916762B2 (en) 2021-08-11

Family

ID=69097040

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018117889A Active JP6916762B2 (en) 2018-06-21 2018-06-21 Method determination device, method determination method and method determination program

Country Status (1)

Country Link
JP (1) JP6916762B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023026890A (en) * 2021-08-16 2023-03-01 富士フイルムビジネスイノベーション株式会社 Authentication device and computer program

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001090859A1 (en) * 2000-05-19 2001-11-29 Netscape Communications Corporation Adaptive multi-tier authentication system
JP4082028B2 (en) * 2001-12-28 2008-04-30 ソニー株式会社 Information processing apparatus, information processing method, and program
JP2004118456A (en) * 2002-09-25 2004-04-15 Japan Science & Technology Corp Mobile terminal authentication system using location information
JP5160911B2 (en) * 2008-01-23 2013-03-13 日本電信電話株式会社 User authentication device, user authentication method, and user authentication program
JP2011198170A (en) * 2010-03-23 2011-10-06 Oki Software Co Ltd System and server for identifying user, mobile device, user identifying program, and program of mobile device
US8904496B1 (en) * 2012-03-30 2014-12-02 Emc Corporation Authentication based on a current location of a communications device associated with an entity
JP6505573B2 (en) * 2015-10-07 2019-04-24 Kddi株式会社 Authentication system, authentication server, business server and user terminal
JP6279643B2 (en) * 2016-03-28 2018-02-14 株式会社 みずほ銀行 Login management system, login management method, and login management program
US9801066B1 (en) * 2016-06-02 2017-10-24 Duo Security, Inc. Method for automatic possession-factor authentication

Also Published As

Publication number Publication date
JP2019219999A (en) 2019-12-26

Similar Documents

Publication Publication Date Title
US9450939B2 (en) Method and apparatus for service login based on third party's information
US11588813B2 (en) Systems and methods for biometric authentication using existing databases
US9781105B2 (en) Fallback identity authentication techniques
TWI612792B (en) Account login method and device
US8661558B2 (en) Methods and systems for increasing the security of electronic messages
JP5969688B2 (en) Location-based access control for portable electronic devices
US20180233152A1 (en) Voice Signature for User Authentication to Electronic Device
US8850534B2 (en) Methods and systems for enhancing the accuracy performance of authentication systems
CN108337210B (en) Device configuration method, device, and system
KR101451359B1 (en) User account recovery
KR20180130735A (en) System and method for authentication service
JP6039029B1 (en) Selection device, selection method, selection program, and authentication processing system
CN105337997B (en) Login method of application client and related equipment
KR20160014623A (en) Resource management based on biometric data
JP6742907B2 (en) Identification and/or authentication system and method
US11163862B2 (en) Authentication of users based on snapshots thereof taken in corresponding acquisition conditions
US12101316B2 (en) Enhanced authentication techniques using virtual persona
CN109831441B (en) Identity authentication method, system and related components
JP5823651B1 (en) Authentication system, authentication method, and authentication program
CN107786487B (en) Information authentication processing method, system and related equipment
JP2016062457A (en) Authentication method and authentication apparatus
JP6505573B2 (en) Authentication system, authentication server, business server and user terminal
US20240106823A1 (en) Sharing a biometric token across platforms and devices for authentication
JP6916762B2 (en) Method determination device, method determination method and method determination program
CN106921626A (en) A kind of user registering method and device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200601

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210322

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210420

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210609

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210622

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210716

R150 Certificate of patent or registration of utility model

Ref document number: 6916762

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150